Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Fremdgesteuert: Sicherheitslücke in Millionen IoT-Überwachungskameras

von WIRED Staff
Sicherheitsforscher von Senrio haben eine kritische Lücke in einer Open-Source-Bibliothek für Security-Hardware entdeckt. Darüber lässt sich der Videofeed einer Überwachungskamera fremdsteuern. Unter anderem dürften Millionen Geräte der Firma Axis betroffen sein — von der Flughafenkamera bis hin zum Babyphone.

Die Devil's Ivy genannte Sicherheitslücke findet sich in der Open-Source-Bibliothek des Drittherstellers gSOAP, dessen Angebot von Herstellern wie Axis genutzt wird. Der Fehler im Programm gewährt potenziellen Angreifern die volle Kontrolle über die Kamerafunktionen.

Das Team der Sicherheitsspezialisten von Senrio hatte die Lücke auf einem weit verbreiteten Axis-Modell entdeckt, das besonders in Hochsicherheitsbereichen zum Einsatz kommt. Die Lücke konnte erfolgreich geschlossen werden — Axis beispielsweise hat das Tool aber auf weiteren 248 Modellen seiner IoT-Kameras aufgespielt, weitere Firmen beziehen gSOAP ebenfalls: Wie Engadget berichtet, geht die Zahl der gefährdeten Geräte wohl in die Millionen.

Die Lösung des Problems erweist sich laut Senrio als ausgesprochen schwierig: Neben der schwer einschätzbaren Verbreitung — es könnten bei zig-tausenden Downloads mehrere zehnmillionen Geräte betroffen sein — ist auch die Art der Programmierung vieler Kameras ein Problem. Einmal gehackt, ist nur über komplizierte Reset-Verfahren wieder an die Steuerung der Hardware zu gelangen. Dazu wird die Verbindung vieler Geräte mit dem Internet von den Sicherheitsforschern als äußerst kritisch gesehen.

Senrio empfiehlt drei wichtige Schritte, um besonders Sicherheitshardware vor Angriffen geschützt zu halten: Erstens sollten entsprechende Geräte niemals mit dem offenen Internet verbindbar sein — die Gefahr durch Hackerangriffe sei besonders durch die Devil's-Ivy-Lücke zu groß. Zweitens sollte mit Firewalls und anderen Abwehrtools so viel Sicherheit wie irgend möglich den Kontrollfunktionen von Kameras vorangestellt werden. Drittens sollten die Geräte regelmäßig gepatcht werden, um potenzielle Softwarelücken schließen zu können. Gerade Letzteres wird von Senrio als kritisch hervorgehoben, da die Endkunden oft zu nachlässig mit der Aktualisierung gekaufter Software umgingen.

GQ Empfiehlt
Iran-Deal: Die Hacker, die Trump ruft

Iran-Deal: Die Hacker, die Trump ruft

von Max Biederbeck